Data de vigência: 6 de março de 2026
VivaShelf ("nós", "nosso", "nos") opera o site vivashelf.com e a plataforma SaaS. Estamos comprometidos em proteger seus dados pessoais em conformidade com o Regulamento Geral sobre a Proteção de Dados (UE) 2016/679 ("GDPR"), a Lei Geral de Proteção de Dados (Lei nº 13.709/2018, "LGPD") e as legislações nacionais de proteção de dados aplicáveis nos países em que atuamos. Esta Política de Privacidade explica quais dados coletamos, por que os coletamos, como os processamos e quais são seus direitos.
O controlador de dados responsável pelos seus dados pessoais é a VivaShelf, acessível pelo e-mail [email protected]. Se você tiver dúvidas sobre como seus dados são processados ou desejar exercer qualquer um dos direitos descritos abaixo, entre em contato conosco por este endereço.
Coletamos e processamos as seguintes categorias de dados pessoais: (a) Informações da conta — nome completo, endereço de e-mail e um hash criptográfico da sua senha (nunca armazenamos senhas em texto simples); (b) Dados da organização — nome do restaurante ou empresa, nomes de locais e funções dos membros da equipe; (c) Dados de estoque — nomes de produtos, números de lotes, quantidades e datas de validade inseridos por você; (d) Dados de uso — timestamps de login, ações realizadas (log de auditoria) e padrões de uso de funcionalidades; (e) Dados técnicos — endereço IP, tipo e versão do navegador, sistema operacional, tipo de dispositivo e URL de referência; (f) Dados de comunicação — solicitações de suporte e qualquer correspondência enviada a nós.
Processamos seus dados pessoais para os seguintes fins: fornecer, operar e manter a plataforma VivaShelf; gerenciar sua conta e participação organizacional; enviar alertas de validade, notificações de estoque baixo e outras comunicações essenciais do serviço; gerar relatórios e análises de estoque para sua organização; aplicar nossos Termos de Serviço e prevenir uso indevido; responder às suas solicitações de suporte; cumprir obrigações legais e regulatórias; e melhorar a confiabilidade e segurança do serviço por meio de análises agregadas e anonimizadas.
Baseamo-nos nas seguintes bases legais: (a) Execução de contrato (Art. 6(1)(b) GDPR / Art. 7, V LGPD) — processamento necessário para fornecer o serviço VivaShelf para o qual você se registrou, incluindo gerenciamento de conta, rastreamento de estoque e alertas de validade; (b) Interesses legítimos (Art. 6(1)(f) GDPR / Art. 7, IX LGPD) — melhoria do desempenho e segurança do serviço, prevenção de fraudes e realização de análises agregadas, desde que esses interesses não se sobreponham aos seus direitos; (c) Consentimento (Art. 6(1)(a) GDPR / Art. 7, I LGPD) — para processamentos opcionais como comunicações de marketing ou cookies não essenciais. Você pode retirar o consentimento a qualquer momento nas configurações da conta sem afetar a legalidade do processamento anterior à retirada; (d) Obrigação legal (Art. 6(1)(c) GDPR / Art. 7, II LGPD) — quando formos obrigados a processar dados para cumprir a legislação aplicável, como requisitos de manutenção de registros fiscais ou de segurança alimentar.
Compartilhamos dados pessoais apenas com processadores que atuam em nosso nome sob Acordos de Processamento de Dados (DPAs) escritos que atendem aos requisitos do GDPR e da LGPD. Nossos subprocessadores atuais são: Neon Tech Inc. (hospedagem de banco de dados PostgreSQL, EUA); Vercel Inc. (hospedagem de aplicação e CDN, EUA); Resend Inc. (entrega de e-mails transacionais, EUA); Google LLC (autenticação OAuth, EUA); Upstash Inc. (limitação de taxa via Redis, EUA); e Sentry (monitoramento de erros, EUA). Não vendemos, alugamos ou comercializamos seus dados pessoais a terceiros.
Seus dados podem ser transferidos e processados nos Estados Unidos pelos subprocessadores listados acima. Cada transferência é protegida por pelo menos um dos seguintes mecanismos: Cláusulas Contratuais Padrão (SCCs) adotadas pela Comissão Europeia (Decisão 2021/914); certificação do provedor no EU-U.S. Data Privacy Framework; ou decisão de adequação da Comissão Europeia. Para transferências sob a LGPD, garantimos que o país de destino oferece grau adequado de proteção ou que são adotadas salvaguardas contratuais conforme o Art. 33 da LGPD. Você pode solicitar uma cópia das salvaguardas aplicáveis entrando em contato conosco.
Retemos dados pessoais apenas pelo tempo necessário para os fins para os quais foram coletados: os dados da conta são mantidos enquanto sua conta estiver ativa e excluídos em até 30 dias após a exclusão da conta; os dados de estoque e logs de auditoria são retidos por um mínimo de 2 anos para cumprir obrigações de rastreabilidade de segurança alimentar conforme o Regulamento (CE) nº 178/2002, ou por mais tempo se exigido pela legislação nacional; os logs de e-mails transacionais são retidos por até 90 dias; os logs de servidor contendo endereços IP são retidos por até 30 dias. Após o período de retenção aplicável, os dados são excluídos com segurança ou anonimizados de forma irreversível.
Implementamos medidas técnicas e organizacionais adequadas para proteger seus dados pessoais, incluindo: criptografia de dados em trânsito (TLS 1.2+) e em repouso; hash criptográfico de senhas usando algoritmos padrão da indústria; criptografia AES-256-GCM de segredos MFA; controle de acesso baseado em funções com isolamento de locatário aplicado no nível do banco de dados via Row-Level Security (RLS); avaliações regulares de segurança; e expiração automática de sessões. Nenhum sistema é completamente seguro e não podemos garantir segurança absoluta, mas revisamos e aprimoramos continuamente nossas salvaguardas.
Você possui os seguintes direitos em relação aos seus dados pessoais: Direito de acesso (GDPR Art. 15 / LGPD Art. 18, II) — obtenha uma cópia dos seus dados em Configurações > Privacidade > Exportar Dados; Direito de retificação (GDPR Art. 16 / LGPD Art. 18, III) — corrija dados imprecisos nas configurações da conta ou entrando em contato conosco; Direito à exclusão (GDPR Art. 17 / LGPD Art. 18, VI) — exclua sua conta e todos os dados associados em Configurações > Privacidade > Excluir Conta; Direito à restrição (GDPR Art. 18) — solicite que limitemos o processamento em determinadas circunstâncias; Direito à portabilidade (GDPR Art. 20 / LGPD Art. 18, V) — receba seus dados em formato JSON estruturado e legível por máquina; Direito de oposição (GDPR Art. 21 / LGPD Art. 18, IV) — opor-se ao processamento baseado em interesses legítimos. Responderemos a todas as solicitações de direitos em até 30 dias. Se precisarmos de mais tempo (até 60 dias adicionais para solicitações complexas), informaremos sobre a extensão e os motivos.
No caso de uma violação de dados pessoais que possa resultar em risco para seus direitos e liberdades, notificaremos a autoridade supervisora competente sem demora indevida e no máximo 72 horas após tomarmos conhecimento da violação. Se a violação puder resultar em alto risco para você, também o notificaremos diretamente sem demora indevida, fornecendo uma descrição da violação, as consequências prováveis e as medidas tomadas para mitigá-la. No Brasil, a notificação será feita também à Autoridade Nacional de Proteção de Dados (ANPD), conforme o Art. 48 da LGPD.
Se você acreditar que nosso processamento de seus dados pessoais viola o GDPR, você tem o direito de apresentar uma reclamação a uma autoridade supervisora — em particular no Estado-Membro da UE/EEE da sua residência habitual, local de trabalho ou local da suposta infração. Uma lista das autoridades supervisoras da UE/EEE está disponível em edpb.europa.eu. No Brasil, reclamações podem ser apresentadas à Autoridade Nacional de Proteção de Dados (ANPD) em gov.br/anpd.
O VivaShelf é um serviço business-to-business projetado exclusivamente para profissionais de restaurantes e serviços de alimentação. Não é direcionado a indivíduos menores de 16 anos e não coletamos conscientemente dados pessoais de crianças. Se tomarmos conhecimento de que coletamos inadvertidamente dados de uma criança menor de 16 anos, os excluiremos prontamente e notificaremos a autoridade supervisora relevante, se necessário.
O VivaShelf não submete você a decisões baseadas exclusivamente em processamento automatizado que produzam efeitos legais ou que o afetem significativamente de forma semelhante. Nosso algoritmo FEFO (First Expired, First Out) é uma ferramenta de gerenciamento de estoque que recomenda a ordem de consumo do estoque — ele não toma decisões automatizadas sobre indivíduos ou seus direitos legais.
Podemos atualizar esta Política de Privacidade para refletir mudanças em nossas práticas de dados, requisitos legais ou funcionalidades do serviço. Quando fizermos alterações materiais: atualizaremos a "Data de vigência" no topo desta página, exibiremos um aviso destacado dentro da aplicação e solicitaremos consentimento renovado quando legalmente exigido. Recomendamos que você revise esta política periodicamente. O uso continuado do serviço após a entrada em vigor das alterações constitui aceitação da política revisada.
Para quaisquer questões relacionadas à privacidade, para exercer seus direitos de proteção de dados ou para apresentar uma preocupação, entre em contato conosco pelo e-mail: [email protected]. Confirmaremos o recebimento da sua solicitação em até 5 dias úteis e forneceremos uma resposta substancial em até 30 dias.